在数字化浪潮席卷的当下,云计算已成为企业发展的关键支撑。然而,云计算早期,企业上云面临数据迁移、权限管理等全新安全挑战,“安全责任共担模式”应运而生,明确了云服务商与用户责任边界,推动云安全规范化发展。但随着企业上云程度加深、业务复杂度增加,仅靠责任划分难应对新型威胁。在此背景下,2024年9月阿里云发布白皮书,提出“云上安全共同体”理念。这一理念有何内涵?又将如何助力企业应对安全挑战呢?
2025阿里云服务器热门活动直达:
1、轻量应用服务器、通用算力型u2i、计算型c9i、通用型g9i、内存型r9i实例云服务器活动直达:阿里云服务器爆款直降90%,89元享4核16G强劲配置
2、gpu云服务器专属活动直达:阿里云gpu云服务器按量1折,包月5折起,包年4折起
3、经济型e、通用算力型u1以及云产品通用代金券、7.5折优惠券,没有套路真的能减:阿里云官方云小站平台
一、安全责任共担模型的演进与挑战
云计算早期,企业面临数据迁移、权限管理等不同于传统IT的安全新课题。为了建立企业与云服务商之间对云安全的理解与共识,“安全责任共担模式”应运而生,明确云服务商与用户在基础设施、平台、应用和数据等层面的责任边界,成为指导云安全实践的基石。
在此框架下,阿里云承担数据中心、物理设施、云平台及基础产品的安全,客户则负责其数据、应用配置、身份权限等自身资产的安全管理。这一分工清晰、权责分明的模式,推动了云安全的规范化发展。
然而,随着数字化深入千行百业,企业上云程度加深,业务复杂度激增,安全挑战也日益动态化、规模化。许多企业,尤其是中小企业,在网络安全投入不足,缺乏专职安全人员,日常配置疏于检查,出现诸如弱口令、错误策略、暴露面过大等本可避免的问题,导致安全风险频发。
面对这一现实,仅靠“划清责任”已不足以应对新型威胁。如何帮助客户更有效地应对安全风险,成为云平台必须思考的新命题。
二、“云上安全共同体”的提出与深化
2024年9月20日,阿里云在杭州云栖大会上发布《阿里云安全白皮书》(2024版),正式提出“云上安全共同体”理念——这不仅是对责任共担模型的延续,更是一次主动升级。
该理念以“共同守护客户云上资产安全”为核心目标,平台与客户不再只是责任划分的关系,而是共同防御、相互协同的安全共同体。
阿里云持续筑牢基础设施、云平台及产品安全,履行“安全的云”的主体责任;同时,主动延伸服务边界,着力打通安全落地的“最后一公里”——即:客户在使用过程中因配置不当、能力不足或资源有限导致的安全盲区。
为此,阿里云通过四大举措强化协同治理:
- 提升原生安全水位:安全能力内嵌产品默认配置,降低用户配置风险
- 开放普惠安全能力:基础防护开箱即用,助力客户上云即安全
- 强化主动服务响应:高危事件主动预警,7×24小时协防处置
- 普及安全最佳实践:持续普及安全知识,打造系统化的内容与实践
“云上安全共同体”不是单向赋权,而是协同共治:平台强化支撑能力,客户主动参与治理。双方协同联动,构建一个开放、可信、可持续的云上安全生态。
这标志着云安全从“各负其责”迈向“共生共护”的新阶段,也为数字时代的企业安全提供了更具前瞻性与实践性的解决方案。
三、践行安全共同体的关键措施
(一)提升原生安全水位
在传统责任共担模式下,用户需自行配置告警策略、启用检测功能、管理访问权限等安全能力,防护效果高度依赖用户的主动操作与安全认知水平。
为降低使用门槛,阿里云从产品设计源头提升原生安全水位,将安全最佳实践内置于默认配置中。基于对常见安全事件根因的分析,识别高频不安全配置,在资源创建或变更过程中,通过以下方式引导用户做出更安全的选择:
- 风险提示:在配置界面实时提醒潜在风险,如弱密码、权限过度开放等,帮助用户及时识别并纠正;
- 默认勾选:将多因素认证(MFA)等关键防护能力设为默认开启状态,降低因凭证泄露导致影响;
- 操作确认:在高风险操作路径中插入安全确认环节,确保用户充分知情,避免误操作带来安全隐患。
目前,相关机制已在账号安全、网络配置等重点场景落地,让安全能力更易用、更自动、更前置。
(二)开放普惠安全能力
阿里云通过普惠化方式开放核心安全能力,覆盖风险发现与基础防护,帮助客户构筑初始安全防线。
- 覆盖核心场景的风险检测:云安全中心免费版简介提供面向账号权限、主机运行、云产品配置等关键资源的常态化风险检测,自动发现常见配置错误、敏感信息泄露、异常登录行为等风险。同时对挖矿程序、暴力破解等高频威胁进行实时监控与告警,帮助用户在攻击初期及时感知异常。
- 集成基础防护的默认保障:面向ECS用户推出ECS专属免费安全防护权益说明,整合漏洞修复、配置合规检查与主机防病毒、自动备份等功能,形成基础防护包。用户绑定实例后即可启用病毒查杀与主动防御机制,无需额外开通或付费,实现“开通即保护”,夯实云上安全起点。
(三)强化主动服务响应
针对高危安全事件,阿里云基于长期安全实践,将部分应急响应能力前移,在检测到高风险行为时,主动触发预警与保护措施,并提供标准化处置路径,协助客户缩短响应时间,减少潜在影响。
- 智能识别,持续提升风险发现能力:针对 AK、勒索等高风险场景持续优化威胁检测引擎,融合多维度行为分析技术,更精准地识别异常活动,帮助客户聚焦真正需要关注的安全事件。
- 自动防护,提供高风险场景下的限制性保护:当系统确认存在明确风险时,将主动对相关调用或服务实施临时限制措施(如AccessKey限制性保护),为客户争取响应时间,在威胁扩散的关键窗口期提供基础防护。
- 多渠道通知,确保风险及时触达:通过短信、站内信、电话外呼等多种方式,将风险信息快速推送给客户及相关联系人,确保关键告警不遗漏,提升信息到达的覆盖率与及时性。
- 快速处置,提供标准化应对路径:设立7×24小时安全应急响应中心,客户可通过安全工单获得专家支持。同时提供一键处置功能,支持用户对常见威胁(如恶意进程)进行快速清理,简化应急操作流程。
(四)普及安全最佳实践
安全不仅是技术能力,更是一种需要持续养成的操作习惯和意识。许多安全事件的根源并非技术缺失,而是认知盲区或操作不当。为帮助客户提升云上安全意识与实战能力,阿里云持续推进安全知识的普及,通过体系化内容输出和常态化运营活动,让安全成为日常习惯。
- 打造一站式安全中心:上线「云上安全指南」频道,聚合文档、视频课程、应急响应工具包等多类型资源,覆盖核心安全场景。帮助用户快速定位所需信息,实现“按需学习、即学即用”。
- 输出场景化安全知识:聚焦高频风险场景和真实攻防案例,提炼安全警示和态势报告,兼具专业性与实用性,让安全知识看得懂、学得会、用得上。
- 开展安全学习实践:面向中小企业和开发者,定期推出安全实践活动,鼓励用户在活动中学习安全知识、进行安全体检、动手修复安全问题,推动安全从“知道”走向“做到”。
